La función AirDrop deManzana tiene problemas con la garantía de confidencialidad. En efecto, según BloombergEl instituto de Beijing ha desarrollado una técnica capaz de descifrar el registro cifrado de un iPhone para identificar los números y direcciones de correo electrónico de los remitentes que comparten contenido AirDrop, dijo la oficina judicial de la ciudad en un mensaje en línea. La policía identificó a varios sospechosos utilizando este método, dijo la agencia.

Índice
  1. Una primera limitación en 2022 de uso en China
  2. Debilidades persistentes en AirDrop

Una primera limitación en 2022 de uso en China

AirDrop se ha vuelto muy popular recientemente en China, por la sencilla razón de que la función oculta por completo los datos de contacto del remitente. Dado que la transmisión AirDrop no se realiza a través de Internet o una red de telefonía móvil, sino de terminal a terminal mediante identificación Bluetooth y una red WiFi local, es extremadamente difícil, si no imposible, para las autoridades identificar a los remitentes. Esto permitió a los opositores políticos intercambiar mensajes, memes y fotografías importantes entre sí sin que la policía pudiera piratear sus redes.

Sin embargo, con el lanzamiento de iOS 16.1.1, Apple implementó un límite de tiempo de 10 minutos para compartir conexiones con "todos", en lugar de solo "contactos" de forma predeterminada. La línea oficial fue que la medida tenía como objetivo combatir el spam y el abuso de AirDrop, pero existía la sospecha de que Apple estaba accediendo a los deseos del gobierno chino, especialmente porque el cambio se aplicó primero en China.

Debilidades persistentes en AirDrop

Nuestra colega Halyna Kubiv de MacWelt Pude tomar nota de ciertas afirmaciones de las autoridades chinas. En una consola Mac, soltó un archivo desde un iPhone a través de AirDrop y, al analizar los registros de la consola, descubrió que el proceso "compartir" es responsable de la solución de transferencia de archivos. Contiene un subproceso dedicado llamado "AirDrop", pero varios otros subprocesos también estuvieron activos durante la transferencia del archivo. Encontró el nombre de su iPhone y la intensidad de la señal de Bluetooth. Descubrió que el subproceso "AirDrop" almacena los valores hash de la dirección de correo electrónico y el número de teléfono pertenecientes al iPhone conectado. Pero ella especifica que no tuvo acceso al texto sin formato. Es en este punto que China afirma haber traspasado las defensas de la solicitud. Según Alexander Heinrich, profesor de la Universidad de Darmstadt que creó una alternativa a AirDrop llamada Private Drop, era sólo cuestión de tiempo antes de que se explotaran los fallos de seguridad de AirDrop.

Las debilidades de la solución de Apple son conocidas y los investigadores de seguridad llevan advirtiendo a Apple sobre estas amenazas desde 2019. El problema con AirDrop es que el protocolo solicita la dirección y el número de teléfono verificados mediante ID de Apple de los terminales del remitente y del destinatario al establecer una conexión si estos no figuran en la libreta de direcciones de ambas partes. Aunque se almacenan como valores hash, son bastante fáciles de descifrar: el número de teléfono son todos números y es fácil de descifrar mediante un ataque de fuerza bruta. En el caso de los correos electrónicos, los atacantes adivinan estructuras de alias comunes y luego buscan posibles coincidencias en bases de datos y diccionarios de correo electrónico filtrados.